Developer Security GuidesGuides Sécurité Développeurs

Supply Chain Supply Chain

Malicious VS Code Extensions in 2026: GlassWorm, MaliciousCorgi & Developer Supply Chain Security Guide

Extensions VS Code Malveillantes en 2026 : GlassWorm, MaliciousCorgi & Guide Sécurité Supply Chain

GlassWorm planted 73 malicious extensions on OpenVSX (April 27, 2026) — the 4th wave since October 2025. MaliciousCorgi silently exfiltrated source code from 1.5M developer machines via AI-branded extensions. CVE-2025-65717 (CVSS 9.1) in Live Server (72M installs) remains unpatched. Complete audit checklist, CVE breakdown & enterprise hardening guide.

GlassWorm a planté 73 extensions malveillantes sur OpenVSX (27 avril 2026) — la 4e vague depuis octobre 2025. MaliciousCorgi a silencieusement exfiltré du code source depuis 1,5M de machines de développeurs via des extensions IA. CVE-2025-65717 (CVSS 9.1) dans Live Server (72M installations) reste non corrigée. Check-list d’audit complète, analyse CVE & guide de durcissement entreprise.

May 2026 Mai 2026 Read Lire

Guides Guides

GitHub Actions OIDC Token Security in 2026: Token Theft, pull_request_target Attacks & Hardening Guide

Sécurité Tokens OIDC GitHub Actions en 2026 : Vol de Tokens, Attaques pull_request_target & Guide de Durcissement

OIDC tokens stolen via chained GitHub Actions exploits enabled 84 malicious TanStack packages published in 6 minutes (CVE-2026-45321, CVSS 9.6). 23,000+ repos compromised via tj-actions. GitHub’s 2026 Security Roadmap explained: dependency locking, L7 egress firewall, scoped secrets & immutable subject claims. Complete workflow hardening checklist.

Des tokens OIDC volés via des exploits GitHub Actions chaînés ont permis la publication de 84 packages TanStack malveillants en 6 minutes (CVE-2026-45321, CVSS 9.6). 23 000+ dépôts compromis via tj-actions. Roadmap Sécurité GitHub 2026 expliquée : verrouillage de dépendances, pare-feu L7, secrets limités & claims subject immuables. Check-list complète de durcissement.

May 2026 Mai 2026 Read Lire

Python Python

pip-audit vs Safety CLI vs OSV-Scanner in 2026: Python Dependency Security Tools Compared & CI/CD Guide

pip-audit vs Safety CLI vs OSV-Scanner en 2026 : Comparaison des Outils de Sécurité Python & Guide CI/CD

270K+ known vulnerabilities linked to PyPI versions in 2025. Full 2026 comparison of pip-audit 2.10.0 (PEP 751 lockfile support), Safety CLI 3.7.0 (freemium, 3× broader database), and OSV-Scanner V2 (polyglot, SARIF, container scanning) — with GitHub Actions recipes and PyPI Trusted Publishers guide.

270K+ vulnérabilités connues liées aux versions PyPI en 2025. Comparaison complète 2026 de pip-audit 2.10.0 (support lockfile PEP 751), Safety CLI 3.7.0 (freemium, base 3× plus large) et OSV-Scanner V2 (polyglotte, SARIF, scan containers) — avec recettes GitHub Actions et guide PyPI Trusted Publishers.

May 2026 Mai 2026 Read Lire

Vue.js / Nuxt Vue.js / Nuxt

Vue.js & Nuxt Security Vulnerabilities in 2026: CVE-2025-52662 DevTools RCE Chain, CDN Cache Poisoning & Hardening Guide

Vulnérabilités Vue.js & Nuxt en 2026 : Chaîne RCE DevTools CVE-2025-52662, Empoisonnement Cache CDN & Guide de Durcissement

Nuxt patched 4 CVEs in 2025–2026 — CVE-2025-52662 (CVSS 6.9) chains XSS → auth token exfiltration → path traversal → RCE in DevTools, CVE-2025-27415 (CVSS 7.5) poisons CDN caches with crafted headers, CVE-2026-34404 & CVE-2026-34405 expose unauthenticated OG Image endpoints to DoS & reflected XSS. v-html XSS patterns & nuxt-security hardening guide for 6.4M weekly Vue downloads.

Nuxt a corrigé 4 CVE en 2025–2026 — CVE-2025-52662 (CVSS 6.9) chaîne XSS → exfiltration token → path traversal → RCE dans DevTools, CVE-2025-27415 (CVSS 7.5) empoisonne les caches CDN, CVE-2026-34404 & CVE-2026-34405 exposent les endpoints OG Image non authentifiés à un DoS & XSS réfléchi. Patterns XSS v-html & guide de durcissement nuxt-security.

May 2026 Mai 2026 Read Lire

React React

React Security Vulnerabilities in 2026: CVE-2025-55182 (CVSS 10.0 React2Shell), RSC DoS Chain & Hardening Guide

Vulnérabilités React en 2026 : CVE-2025-55182 (CVSS 10.0 React2Shell), Chaîne DoS RSC & Guide de Durcissement

React published 6 CVEs between December 2025 and May 2026. CVE-2025-55182 (React2Shell, CVSS 10.0) enabled unauthenticated RCE on any RSC deployment — exploited within 48h, 766 servers compromised. CVE-2026-23870 (CVSS 7.5) crashes RSC apps via low-bandwidth requests. Cloudflare added WAF mitigations May 6, 2026. dangerouslySetInnerHTML XSS patterns & complete hardening guide.

React a publié 6 CVE entre décembre 2025 et mai 2026. CVE-2025-55182 (React2Shell, CVSS 10.0) permettait un RCE non authentifié sur tout déploiement RSC — exploitée en 48h, 766 serveurs compromis. CVE-2026-23870 (CVSS 7.5) crashe les apps RSC via des requêtes à faible débit. Cloudflare a ajouté des atténuations WAF le 6 mai 2026. Patterns XSS dangerouslySetInnerHTML & guide de durcissement complet.

May 2026 Mai 2026 Read Lire

Svelte / SvelteKit Svelte / SvelteKit

Svelte & SvelteKit Security Vulnerabilities in 2026: CVE-2026-40073 (CVSS 8.2), SvelteSpill Cache Deception & Hardening Guide

Vulnérabilités Svelte & SvelteKit en 2026 : CVE-2026-40073 (CVSS 8.2), SvelteSpill Cache Deception & Guide de Durcissement

SvelteKit disclosed 6 CVEs in 2026 — CVE-2026-40073 (CVSS 8.2) lets unauthenticated attackers bypass BODY_SIZE_LIMIT via chunked encoding. CVE-2025-67647 enables full-read SSRF & one-shot DoS via prerendered routes. SvelteSpill (CVE-2026-27118) leaks authenticated session data through Vercel CDN. devalue CVEs exhaust server memory from a single request. Hardening checklist included.

SvelteKit a divulgué 6 CVE en 2026 — CVE-2026-40073 (CVSS 8.2) permet à des attaquants non authentifiés de contourner BODY_SIZE_LIMIT via l’encodage par chunks. CVE-2025-67647 active le SSRF à lecture complète & DoS en un coup via les routes pré-rendues. SvelteSpill (CVE-2026-27118) fuit les données de session authentifiées via le CDN Vercel. Check-list de durcissement incluse.

May 2026 Mai 2026 Read Lire

npm npm

TypeScript & Deno Security Vulnerabilities in 2026: CVE-2026-32260 Command Injection Chain & Hardening Guide

Vulnérabilités TypeScript & Deno en 2026 : Chaîne d’Injection CVE-2026-32260 & Guide de Durcissement

Deno patched 4 CVEs between January and May 2026 — CVE-2026-32260 (CVSS 8.1) bypasses the fix for CVE-2026-27190 via backtick substitution in double-quoted arguments, CVE-2026-41690 (CVSS 8.6) lets unauthenticated clients pollute Object.prototype. TypeScript type confusion pitfalls, deno.lock & import maps hardening guide.

Deno a corrigé 4 CVE entre janvier et mai 2026 — CVE-2026-32260 (CVSS 8.1) contourne le correctif de CVE-2026-27190 via la substitution par guillemets obliques dans des arguments entre guillemets doubles, CVE-2026-41690 (CVSS 8.6) permet à des clients non authentifiés de polluer Object.prototype. Pièges de confusion de types TypeScript, guide de durcissement deno.lock & import maps.

May 2026 Mai 2026 Read Lire

Angular Angular

Angular Security Vulnerabilities in 2026: CVE-2026-27739 (CVSS 9.2 SSRF), XSS Epidemic & Hardening Guide

Vulnérabilités Angular en 2026 : CVE-2026-27739 (CVSS 9.2 SSRF), Épidémie XSS & Guide de Durcissement

Angular patched 7 CVEs across 2025–2026 — CVE-2026-27739 (CVSS 9.2, Critical SSRF in SSR pipeline), CVE-2026-22610 (CVSS 8.5, XSS via SVG script attributes), CVE-2026-27970 (XSS in i18n ICU messages affecting every Angular version ever released). CSP, TrustedTypes & full hardening guide.

Angular a corrigé 7 CVE en 2025–2026 — CVE-2026-27739 (CVSS 9.2, SSRF Critique dans le pipeline SSR), CVE-2026-22610 (CVSS 8.5, XSS via attributs SVG script), CVE-2026-27970 (XSS dans les messages ICU i18n affectant toutes les versions Angular jamais publiées). CSP, TrustedTypes & guide de durcissement complet.

May 2026 Mai 2026 Read Lire

npm npm

OpenSSL & Node.js TLS Security in 2026: CVE-2026-2673 (Post-Quantum Fallback), 12 OpenSSL CVEs & Production Hardening Guide

Sécurité OpenSSL & TLS dans Node.js en 2026 : CVE-2026-2673 (Repli Post-Quantique), 12 CVE OpenSSL & Guide de Durcissement

OpenSSL’s January 2026 advisory disclosed 12 CVEs — CVE-2025-15467 (High, RCE-class buffer overflow in CMS AEAD) & CVE-2025-11187 (Moderate, PKCS#12 DoS). CVE-2026-2673 silently downgrades post-quantum TLS 1.3 from X25519MLKEM768 to classical X25519 on OpenSSL 3.5/3.6. Full production TLS 1.3 config, HSTS & certificate management guide.

L’advisory OpenSSL de janvier 2026 divulgue 12 CVE — CVE-2025-15467 (High, buffer overflow RCE dans CMS AEAD) & CVE-2025-11187 (Moderate, DoS PKCS#12). CVE-2026-2673 dégrade silencieusement le TLS 1.3 post-quantique de X25519MLKEM768 vers X25519 classique sur OpenSSL 3.5/3.6. Configuration TLS 1.3, HSTS & gestion des certificats en production.

May 2026 Mai 2026 Read Lire

npm npm

Node.js & Express Security Vulnerabilities in 2026: 16 CVEs, Node 20 EOL & Hardening Guide

Vulnérabilités Node.js & Express en 2026 : 16 CVE, EOL Node 20 & Guide de Durcissement

Node.js patched 16 CVEs in Q1 2026 — CVE-2026-21637 crashes TLS servers with a single malformed SNI packet (High), CVE-2026-21710 brings down HTTP servers via a __proto__ header (High), CVE-2026-4867/4923 bring ReDoS back to Express routing. Node.js 20 reached EOL April 30, 2026. Full hardening guide with helmet.js and express-rate-limit.

Node.js a corrigé 16 CVE au T1 2026 — CVE-2026-21637 crashe les serveurs TLS avec un seul paquet SNI mal formé (High), CVE-2026-21710 fait tomber les serveurs HTTP via un header __proto__ (High), CVE-2026-4867/4923 réintroduisent le ReDoS dans le routage Express. Node.js 20 en fin de vie le 30 avril 2026. Guide de durcissement complet avec helmet.js et express-rate-limit.

May 2026 Mai 2026 Read Lire

Python Python

pip-audit & Poetry Security in 2026: CVE-2026-34591, pylock.toml & PyPI Trusted Publishers

Sécurité pip-audit & Poetry en 2026 : CVE-2026-34591, pylock.toml & PyPI Trusted Publishers

CVE-2026-34591 (CVSS 7.1) lets crafted wheels overwrite arbitrary files via Poetry’s wheel installer (Poetry 1.4.0–2.3.2). pip-audit 2.9.0 adds PEP 751 pylock.toml support. 132K+ PyPI packages now have provenance attestations. Full CI/CD integration guide.

CVE-2026-34591 (CVSS 7.1) permet à des wheels craftées d’écraser des fichiers arbitraires via l’installeur Poetry (1.4.0–2.3.2). pip-audit 2.9.0 ajoute le support PEP 751 pylock.toml. Plus de 132K packages PyPI ont des attestations de provenance. Guide CI/CD complet.

May 2026 Mai 2026 Read Lire

Java Java

Maven & Gradle Security Vulnerabilities in 2026: CVE-2026-34477, MavenGate & the Log4j Problem That Won’t Die

Vulnérabilités Maven & Gradle en 2026 : CVE-2026-34477, MavenGate & le Problème Log4j qui Persiste

CVE-2026-34477 silently ignores Log4j TLS hostname verification since v2.12.0 — enabling MITM on SMTP/Socket/Syslog appenders. 13% of Log4j downloads in 2025 were still vulnerable. MavenGate shows 6,170 Maven Central dependency domains are open to hijacking. OWASP Dependency-Check integration guide for Maven and Gradle.

CVE-2026-34477 ignore silencieusement la vérification TLS de Log4j depuis la v2.12.0 — activant les attaques MITM sur les appenders SMTP/Socket/Syslog. 13 % des téléchargements Log4j en 2025 étaient encore vulnérables. MavenGate : 6 170 domaines de dépendances Maven Central ouverts au détournement. Guide OWASP Dependency-Check pour Maven et Gradle.

May 2026 Mai 2026 Read Lire